logo

Informatiebeveiligingsbeleid

Augustus 2025

[versie 1.3]

Doel

Het doel van dit document is om de inzet van het bestuur voor informatiebeveiliging aan te tonen en om de overkoepelende beleidsverklaringen te bieden waaraan alle ondergeschikte beleidslijnen en controles moeten voldoen.

Beleid

De raad van bestuur en het management van Gamecheck Limited, gevestigd in Madison Building Midtown, Queensway, GX11 1AA, zijn voornamelijk actief in de gamingindustrie.

Wij streven ernaar de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatie en informatiegerelateerde activa te behouden om de doelstellingen van de organisatie te verwezenlijken, zoals samengevat in punt 4 Context van de organisatie.

Wij verbinden ons er uitdrukkelijk toe:

  • Voldoe aan alle toepasselijke wettelijke, reglementaire, contractuele en statutaire vereisten met betrekking tot informatiebeveiliging (inclusief maar niet beperkt tot AVG, DPA, PCI-DSS, NIST CSF, GRA en branchespecifieke verplichtingen ) met betrekking tot informatiebeveiliging.
  • Zorg dat we ons ISMS voortdurend verbeteren door middel van systematische beoordelingen van beveiligingsdoelstellingen, interne audits, beoordelingen door het management en corrigerende maatregelen op basis van risicobeoordelingen en prestatie-evaluaties.

De eisen op het gebied van informatie en informatiebeveiliging worden afgestemd op de bedrijfsdoelstellingen van de organisatie. Hierbij wordt rekening gehouden met de interne en externe kwesties die van invloed zijn op de organisatie en de behoeften van belanghebbenden.

Dit beleid is:

  • Openbaar toegankelijk voor alle geïnteresseerde partijen op: www.gamecheck.com/security-policy
  • Gecommuniceerd aan alle medewerkers via:
  • Verplichte onboardingtraining
  • Jaarlijkse programma's voor beveiligingsbewustzijn
  • Bedrijfsbrede aankondigingen (e-mail/intranet)
  • Onbeperkt toegankelijk via ons intranet en ISMS-platform

ISMS-implementatie

Onze ISMS-doelstellingen worden beschreven en gemeten volgens de eisen van ISO/IEC 27001. Het systeem beheert informatiebeveiligingsrisico's door:

  1. Online risicomanagementplatform voor het identificeren, beoordelen en beheersen van risico's
  2. Verklaring van toepasbaarheid die de implementatie van de controle definieert
  3. Toezicht van de Management Review Board op risicobehandelingsplannen
  4. Projectspecifieke risicobeoordelingen waar nodig

Het ISMS is bedoeld als een mechanisme voor het beheersen van risico's op het gebied van informatiebeveiliging en het verbeteren van de organisatie, om zo bij te dragen aan het realiseren van haar algemene doel en doelstellingen.

De online platformomgeving, inclusief onze aanpak van risicomanagement, biedt de context voor het identificeren, beoordelen, evalueren en beheersen van informatiegerelateerde risico's via het opzetten en onderhouden van een ISMS.

De aanpak die wordt gehanteerd voor risicobeoordeling en -beheer, de Verklaring van Toepasselijkheid en de bredere vereisten voor het voldoen aan ISO 27001 geven aan hoe informatiebeveiliging en gerelateerde risico's worden aangepakt.

De controledoelstellingen voor elk van deze gebieden worden ondersteund door specifieke gedocumenteerde beleidsregels en procedures in de onlineomgeving en zijn afgestemd op de uitgebreide controles die zijn vermeld in Bijlage A van de ISO 27001-norm.

Naleving en training

Alle medewerkers en belanghebbenden dienen zich aan dit beleid te houden. Naleving wordt gewaarborgd door:

  • Rolspecifieke beveiligingstraining
  • ISMS-communicatieforums
  • Gevolgen bij niet-naleving (conform Gedragscode)
  • Gespecialiseerde training voor technisch personeel

Alle medewerkers en relevante belanghebbenden die bij het ISMS betrokken zijn, dienen zich aan dit beleid te houden. Passende trainingen en materialen ter ondersteuning hiervan zijn beschikbaar voor degenen die onder het ISMS vallen. Communicatiefora zoals de ISMS-communicatiegroep zijn beschikbaar om de betrokkenheid continu te waarborgen.

Mechanisme voor continue verbetering

Het ISMS kan worden beoordeeld en verbeterd door de Management Review Board, die wordt voorgezeten door de Chief Information Security Officer (CISO) en die voortdurend wordt vertegenwoordigd door senior vertegenwoordigers uit relevante delen van de organisatie. Andere leidinggevenden/specialisten die nodig zijn om het ISMS-kader te ondersteunen en het beveiligingsbeleid en het ISMS in bredere zin periodiek te evalueren, worden uitgenodigd voor de bestuursvergaderingen en voeren indien nodig relevant werk uit. Dit alles wordt gedocumenteerd in overeenstemming met de norm.

De Management Review Board is verantwoordelijk voor het algehele beheer en onderhoud van het risicobehandelingsplan, waarbij specifieke risicomanagementactiviteiten worden toevertrouwd aan de juiste eigenaar binnen de organisatie. Indien nodig kunnen aanvullende risicobeoordelingen worden uitgevoerd om passende beheersmaatregelen voor specifieke risico's te bepalen, bijvoorbeeld tijdens speciale projecten die binnen de context worden voltooid.

De Management Review Board (onder voorzitterschap van CISO):

  • Voert tweejaarlijkse ISMS-prestatiebeoordelingen uit
  • Voert jaarlijkse interne audits uit
  • Voert corrigerende maatregelen binnen 30 dagen uit
  • Updates van beveiligingsdoelstellingen per kwartaal
  • Behoudt ISO 27001-certificering

Wij streven ernaar om de certificering van het ISMS volgens ISO 27001 te behalen en te behouden, evenals andere relevante accreditaties waarvoor onze organisatie certificering heeft aangevraagd.

Dit beleid wordt regelmatig, maar ten minste eenmaal per jaar, herzien om te reageren op eventuele wijzigingen in de bedrijfsvoering, de risicobeoordeling of het risicobehandelingsplan.

Definities

In dit beleid en de bijbehorende reeks beleidsregels in de onlineomgeving waarin ons ISMS is opgenomen, wordt 'informatiebeveiliging' als volgt gedefinieerd:

conserveren 

Dit betekent dat alle relevante belanghebbenden hun verantwoordelijkheden hebben, en op de hoogte worden gebracht, zoals vastgelegd in hun functiebeschrijvingen of contracten, om te handelen in overeenstemming met de vereisten van het ISMS. De gevolgen van het niet naleven hiervan worden beschreven in de Gedragscode. Alle relevante belanghebbenden zullen een training in informatiebeveiligingsbewustzijn volgen en meer gespecialiseerde medewerkers zullen een passende training in informatiebeveiliging volgen.

de beschikbaarheid

Dit betekent dat informatie en bijbehorende middelen toegankelijk moeten zijn voor geautoriseerde gebruikers wanneer dat nodig is en daarom fysiek veilig moeten zijn. De omgeving moet veerkrachtig zijn en de organisatie moet in staat zijn om incidenten of gebeurtenissen die de continue beschikbaarheid van middelen, systemen en informatie bedreigen, snel te detecteren en erop te reageren.

vertrouwelijkheid 

Dit houdt in dat ervoor gezorgd moet worden dat informatie alleen toegankelijk is voor degenen die daartoe bevoegd zijn. Ook moet worden voorkomen dat er opzettelijk of onopzettelijk ongeautoriseerde toegang plaatsvindt tot informatie, bedrijfseigen kennis, activa en andere systemen van de organisatie en relevante belanghebbenden.

en integriteit

Hierbij gaat het om het waarborgen van de juistheid en volledigheid van informatie en verwerkingsmethoden. Daarom is het nodig dat opzettelijke of onopzettelijke, gedeeltelijke of volledige, vernietiging of ongeautoriseerde wijziging van fysieke activa of elektronische gegevens wordt voorkomen.

van informatie en andere relevante activa

De informatie kan digitale informatie omvatten, afgedrukt of geschreven op papier, op welke manier dan ook verzonden of gesproken in een gesprek, evenals elektronisch opgeslagen informatie. Activa omvatten alle informatieverwerkende apparaten die eigendom zijn van de organisatie of die van relevante belanghebbenden, en BYOD-apparaten die organisatiegerelateerde informatie verwerken.

van onze organisatie

De organisatie en relevante belanghebbenden die binnen de reikwijdte van het ISMS vallen, hebben ons beveiligingsbeleid ondertekend en ons ISMS geaccepteerd.

Documenteigenaar en goedkeuring

De CEO is de eigenaar van dit document en is ervoor verantwoordelijk dat dit beleidsdocument wordt beoordeeld in overeenstemming met de eisen van ISO 27001. Een actuele versie van dit document is beschikbaar voor alle medewerkers in de ISMS-beheeromgeving. Dit informatiebeveiligingsbeleid is goedgekeurd door de Management Review Board en wordt uitgegeven op basis van versiebeheer.

James Elliott

Oprichter